Università Studi di Salerno Gestione sistema informativo Biblioteche di Ateneo

Biblioteche federate La soluzione Unisa

Dott. Isidoro D’AuriaIng. Massimiliano CILURZOSign. Salvatore De Filippis

Cosa vedremo oggi

.

UniSa in cifre

I principali applicativi

Identity & Access ManagmentCon Identity Management si intendono i sistemi integrati di tecnologie, criteri e procedure (informatiche ed amministrative) in grado di consentire alle organizzazioni di facilitare - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.

Con Access Management si intende la possibilità di differenziare i diritti di accesso alle singole risorse in base al profilo di ciascun utente o per ciascun ruolo/gruppo.

Le problematiche dell’IM

I principali problemi dell’Identity managemnent (IM) sono:

• user provisioning, e deprovisioning;• delega di funzioni amministrative o di privilegi e ruoli;• controllo di accesso ed autorizzazione ed autenticazione;

Le identità digitali di tutti i dipendenti dovrebbero essere sincronizzate su tutti i sistemi dell’azienda.

Ma, nella maggior parte dei casi, la realtà è ben diversa da questo scenario.

Ciclo di vita dell’identità digitale

(ILM)

Gestire il ciclo di vita dell’identità digitale (Identity Lifecycle Management) di tutti i soggetti significa gestire in modo automatico l'assegnazione dei vari account informatici (tipicamente UserId e Password) alle varie tipologie di persone che instaurano dei rapporti con l’Ateneo e che necessitano di accedere alle risorse informatiche.

Ciclo di vita dell’identità digitale (ILM) 2

ILM consente di:•Ridurre i costi dei processi relativi al ciclo di vita delle identità;•Migliorare l'efficienza dell'attività e la produttività degli utenti;•Ridurre al minimo rischi per la sicurezza e la conformità mediante la convalida dell'accesso degli utenti, impedendo l'attribuzione agli utenti stessi di diritti di accesso in conflitto, controllando gli account orfani ecc.

Cosa è I am @ UniSaI am @ UniSa è la piattaforma di Identity & Access management dell’Università di Salerno.

Questa è composto da:• un motore ILM sviluppato con l’Ufficio Applicazione del CSI;•6 database autoritativi correlati tra loro (ESSE3, CSA, CIA, SOLARI, INTRANET ed LDAP)•Server LDAP e servizi di autenticazione:

•software di SSO (Shibboleth 2)•CISCO ACS/RADIUS•Captive portal WIFI•HELPDESK•Ecc.

Dove prendiamo i dati

Esse3Esse3CSACSA

CIACIA

DB IntranetDB Intranet

LDAPLDAP

ShibbolethRadius (VPN/Dial-up)Captive portal (Wifi)Helpdesk

ILM

ATTORI COINVOLTI IN SHIBBOLETH

PDS – Patron Directory Services

Sistema di autenticazione

Sistema di autenticazione

ALEPH MetaLib

MetaLib

PDSPDS

Shibboleth

LDAPCredenziali

USER FILESAttributi

PDS - Benefici Consente di creare un unico punto di autenticazione

per tutti i prodotti Ex Libris Semplifica lo sviluppo Fornisce una infrastruttura di single sign-on (SSO) Semplifica l’integrazione dei frameworks istituzionali

di autenticazione quale, ad esempio Shibboleth

PDS – Cosa èUna applicazione web di “back end” che fornisce:

Un metodo per il coordinamento dei sistemi di autenticazione ed autorizzazione attraverso I prodotti Ex Libris

Un sistema per lo smistamento delle informazioni realtive ai “Patron”

PDS - Cosa non è PDS non è un sistema di autenticazione PDS non è un applicazione di Single Sign-On

PDS non si cura dei diritti di un utente.Sarà la singola applicazione a determinare

cosa un utente potrà fare in base allo specifico profilo

PDS non si cura dei diritti di un utente.Sarà la singola applicazione a determinare

cosa un utente potrà fare in base allo specifico profilo

Login su MetaLib con PDS

User Provides

Credentials

User Provides

Credentials

User authenticated

User authenticated

User assigned Attributes

User assigned Attributes

User granted Entitlements

User granted Entitlements

PDS initiates authN and caches ID

PDS fetches attributesusing ID

PDS passes attributes to Application

User Accesses MetaLib as

GUEST

User Accesses MetaLib as

GUEST

User Continues MetaLib session as

Logged-in User

User Continues MetaLib session as

Logged-in User

User Initiates Log-in – PDS presents Log-in Screen

Meaning of ‘entitlements’ foruser determined by MetaLib

Meaning of ‘entitlements’ foruser determined by MetaLib

Shiboleth Provides ID and Attributes

Login su MetaLib con PDS e Shibboleth

User Credentials

Checked

User Credentials

Checked

User authenticated

User authenticated

User assigned Attributes

User assigned Attributes

User granted Entitlements

User granted Entitlements

Shiboleth Login Process

User Accesses MetaLib as

GUEST

User Accesses MetaLib as

GUEST

User Continues MetaLib session as

Logged-in User

User Continues MetaLib session as

Logged-in User

User Initiates Login – Shiboleth Restricted Resource

PDS passes attributes to Application

Meaning of ‘entitlements’ foruser determined by Aleph

Shiboleth Provides ID and Attributes

Login su Aleph con PDS e Shibboleth

User Credentials

Checked

User Credentials

Checked

User authenticated

User authenticated

User assigned Attributes

User assigned Attributes

User granted Entitlements

User granted Entitlements

Shiboleth Login Process

User Accesses Aleph as GUEST

User Accesses Aleph as GUEST

User Continues Aleph session as Logged-in User

User Continues Aleph session as Logged-in User

User Initiates Login (with Metalib PDS) – Shiboleth Restricted

Resource

PDS passes attributes to Application

Esempio pratico UniSA

Esempio pratico UniSA

E ora? Problema caricamento massivo delle anagrafiche in

Metalib e relativo aggiornamento periodico.

La nostra risposta:

Implementazione di una soluzione per l’inserimento in automatico degli utenti shibboleth non presenti in metalib attraverso il PDS.

Fine

Grazie per l’attenzione